היחידה למודיעין פיננסי במשרד האוצר האמריקאי (FINCEN) פרסמה לאחרונה (25.10.16) מסמך הנחיה (advisory) למוסדות פיננסיים שמטרתו לחדד ולהבהיר את החובות של מוסדות אלה בנושא התמודדות, דיווח ושיתוף מידע הקשור לפשעי סייבר  מכוח חוק ה-BSA.

במסמך מציינת FINCEN כי גודלה ומורכבותה של המערכת הפיננסית בארה"ב הופכת מוסדות פיננסיים במדינה זו ליעד אטרקטיבי להתקפות מצד עברייני סייבר, גורמי טרור ושחקנים מדינתיים, בין השאר באמצעות חדירה למערכות אלקטרוניות למטרת ביצוע פעולות פיננסיות לא חוקיות, גניבת פרטי חשבונות וכרטיסי אשראי, התקפות כופרה (ransomware), ועוד.  

על רקע זה, מנחה FINCEN מוסדות פיננסיים לנקוט צעדים שמטרתם להגן על הלקוחות ולסייע לרשויות להילחם בפשעי סייבר, וביניהם: לדווח על אירועי סייבר במסגרת דיווחים על פעולות חשודות (SARs); ליצור מנגנוני שת"פ בין פונקציית איסור הלבנת הון ומימון טרור לפונקציית אבטחת מידע בתוך המוסד הפיננסי; ולשתף מידע הקשור להתקפות סייבר עם מוסדות פיננסיים נוספים.

בין השאר, מדגישה FINCEN כי שיתוף פעולה ותקשורת רציפה בין יחידת איסור הלבנת הון ומימון טרור ליחידת אבטחת מידע ויחידות נוספות במוסד הפיננסי עולה בקנה אחד עם עקרונות של תרבות ציות איתנה ומסייע למוסדות פיננסיים לפתח אסטרטגיה נאותה לניהול הסיכון של פשעי סייבר. כמו כן, שיתוף פעולה מסוג זה יכול לסייע באיתור דפוסים נוספים של פעילות חשודה וזיהוי חשודים שלא היו ידועים קודם לכן לפונקציית איסור הלבנת הון.

בהקשר לשת"פ בין מוסדות פיננסיים, מבהירה FINCEN כי ה-USA PATRIOT Act כולל סעיף של "נמל מבטחים" (safe harbor) המספק הגנה למוסדות פיננסיים שמשתפים ביניהם מידע למטרות זיהוי ודיווח על מקרים פוטנציאליים של הלבנת הון ומימון טרור, ובכלל זה מידע על אירועי סייבר. זאת, לאחר שהודיעו על כך ל-FINCEN וענו על דרישות מסוימות. מידע זה יכול לכלול, למשל, פרטים מזהים על חתימת תוכנה זדונית, כתובות IP וכתובות הקשורות למשתמשים במטבעות וירטואליים.

במקביל, פרסמה FINCEN קובץ שו"ת אשר מספק הבהרות נוספות לגבי אופני הדיווח על אירועי סייבר במסגרת דיווחים על פעולות חשודות. במסגרת קובץ זה מדגישה FINCEN כי אין דרישה או ציפייה מצד רשויות הפיקוח שיחידות איסור הלבנת הון ומימון טרור במוסדות פיננסיים יכללו עובדים בעלי מומחיות בנושא אבטחת סייבר או מערכות ייעודיות לנושא זה, וכי די בשת"פ עם יחידות אבטחת מידע בארגון כדי לספק את המומחיות הדרושה לצורך כך. 

פורסם 2016-11-30